4. Северин В.А. Комплексная защита информации на предприятии (20xx) (1185610), страница 23
Текст из файла (страница 23)
• в наблюдении за процессом реализации мероприятий, связанных с установлением режима коммерческой тайны;
• определении фактического состояния дел по соблюдению трудовой и договорной дисциплины, в части выполнения требований, касающихся обеспечения безопасности организации;
• выявлении причин и обстоятельств, способствующих совершению нарушений;
• принятии мер по устранению и предупреждению нарушений в сфере обращения КЗИ, а также мер по привлечению к ответственности лиц, виновных в нарушении дисциплины. Посредством контроля осуществляется проверка исполнения
мероприятий, которые были направлены на установление режима коммерческой тайны. В этой связи правильно отмечает М.В. Мельник, что «отказаться от контроля нельзя, так как это будет означать утрату информации и, следовательно, потерю управления. Контроль не является самоцелью и нужен для того, чтобы качественно обеспечить выполнение принятых решений» 2 в части установления режима коммерческой тайны в организации.
Анализ материалов показывает, что в практической деятельности службы безопасности применяют различные формы контроля. Наиболее распространенные из них: проверка состояния режима конфиденциальности; заслушивание руководителей подразделений; обследование и аттестация режимных помещений; прием зачетов от исполнителей, работающих с КЗИ; служебные расследования фактов утраты конфиденциальных документов круга лип, допускаемых к конфиленпиальным сведениям и исключением доступа к ним посторонних лить
В литературе весьма распространено определение доступа лиц к коммерческой тайне как совокупности норм и правил, установи гиваемых руководством организации с целью правомерного ознакомления и использования работниками конфиденциальных сведений, необходимых им для выполнения трудовых обязанностей. При этом должен быть соблюден ряд условий, выполнение которых свидетельствует о правомерном доступе липа к КЗИ, а именно: подписание работником обязательства о неразглашении сведений, составляющих коммерческую тайну; наличие у него допуска к таким сведениям и работам; разрешение руководителя структурного подразделения на ознакомление с конкретной конфиденциальной информацией.
Практикой выработаны определенные процедуры регламентации порядка доступа лип к сведениям, документам и базам данных. Речь идет об оптимальном распределении информации производственного, управленческого и коммерческого характера между исполнителями соответствующих работ. Трудность решения этой задачи обусловлена, с одной стороны, необходимостью предоставления работнику полного объема сведений в рамках выполнения трудовых обязанностей, а с другой — исключения возможности ознакомления его с излишними сведениями.
Анализ материалов практики показывает, что процедура доступа работника к информации, составляющей коммерческую тайну, чаще всего, состоит в издании приказа о назначении работника на должность, письменном обосновании руководителем подразделения необходимости доступа работника к такой информации, согласовании этого вопроса со службой безопасности, принятии руководителем организации решения о доступе работника к КЗИ.
Оформление документов на доступ лиц к коммерческой тайне осуществляется в соответствии с положением о разрешительной системе, в котором определены полномочия руководителей подразделений и службы безопасности по распределению КЗИ и обязанности работников по ее использованию и охране конфиденциальности.
На малых предприятиях с ограниченным объемом работ ру-коюдитель имеет возможность лично распределять КЗИ между работниками независимо от занимаемых ими должностей. В крупных организациях такое распределение становится достаточно трудоемким. Поэтому первый руководитель часть своих прав делегирует руководителям нижестоящих уровней, оставляя за собой право распоряжения наиболее ценными сведениями, составляющими коммерческую тайну, например, результаты конфиденциальных переговоров об условиях заключения договоров со стратегическими партнерами.
Анализ материалов ряда организаций показывает, что на практике используются различные варианты разрешений, оформляющих право на доступ к конфиденциальной информации. Широкое распространение имеет такой традиционный вид разрешения, как резолюция руководителя на самом документе. Такое разрешение содержит перечень фамилий работников, обязанных ознакомиться с документами или их исполнить, срок исполнения, другие указания, подпись руководителя и дату. Право работников на доступ к КЗИ может содержаться в распорядительных документах: приказах, указаниях, распоряжениях по организации. В названных документах персонально указаны работники, которым предоставлено право доступа к конкретным документам в силу занимаемой должности и выполнения трудовых обязанностей. При значительных объемах технической документации используются пофамильные списки лиц, имеющих право доступа к такой информации (с указанием отдела, фамилии и должности исполнителя, категории документа).
Определенные особенности присущи оформлению права доступа к КЗИ представителей организаций-контрагентов. Командированные липа допускаются к такой информации по письменному разрешению руководителя организации с определением объема сведений, составляющих коммерческую тайну и круга вопросов, по которым может быть предоставлена информация, с указанием ответственного работника за прием и работу с командированным лицом.
Итак, наиболее распространенные способы документального оформления разрешений на доступ работников к КЗИ: составление именных списков с указанием в них фамилии работников, их должности, категорий документов или сведений, к которым они допущены, либо должностных списков, когда ознакомление с КЗИ происходит в силу занятия лицом определенной должности; оформление разрешения доступа на самих документах в виде резолюций, и, наконец, указание в распорядительных документах (например, в приказах, распоряжениях и др.) фамилий работников, которые при решении производственных заданий, должны быть допушены к конкретным документам и сведениям.
Роль разрешительной системы в совокупности с другими мерами, направленными на установление режима коммерческой тайны, требует рассмотрения порядка ее правовой регламентации. Система доступа исполнителей к конфиденциальным документам и изделиям должна быть предельно простой и без излишних ограничений. Под исполнителями в данном случае понимаются работники организации, командированные и иные лица, имеющие оформленный администрацией допуск к КЗИ и получившие фактический доступ к такой информации. Любые непродуманные ограничительные меры снижают ее эффективность, увеличивают затраты рабочего времени исполнителей, связанные с оформлением разрешений на право доступа к необходимой информации. Разрешительная система доступа лиц к КЗИ должна адекватно реагировать на изменения в хозяйственной ситуации при проведении конфиденциальных работ.
Названные факторы должны учитываться при разработке структуры положения о разрешительной системе доступа к КЗИ в организации (далее — Положение). Положение является специальным корпоративным актом, регулирующим доступ работников к КЗИ.
Разработка такого Положения поручается, как правило, комиссии, назначаемой приказом руководителя организации. Членами комиссии являются работники основных производственных подразделений и СБ, хорошо знающие тематику и специфику деятельности организации, требования, предъявляемые к обеспечению режима коммерческой тайны.
Комиссия структурно состоит из нескольких подкомиссий, занятых изучением порядка допуска работников к планово-финансовой, производственной, технической и технологической документации. Такая специализация с учетом знаний и опыта руководителей производства, научных и инженерно-технических работников, способствует более точному установлению пределов ограничения права на доступ к КЗИ. Чаше всего, комиссию возглавляет заместитель руководителя организации по научной работе или главный инженер. Методическое руководство по сбору и анализу материалов осуществляется руководителем службы безопасности» который одновременно является заместителем председателя комиссии.
Разработка Положения требует проведения предварительной аналитической работы с целью выявления информационных потоков КЗИ, используемой в научной, производственной и коммерческой деятельности; определения объема охраняемой информации и возможности ее использования работниками организации и контрагентами. Изучается структура и функциональные направления деятельности организации и ее подразделений, подчиненность и взаимодействие структурных звеньев, их связь с организациями-контрагентами в процессе разработки и реализации продукции. Анализируются различные этапы выполнения НИОКР и участки, где могут быть сосредоточены коммерческие секреты. Выясняется необходимость доступа к КЗИ представителей обслуживающих подразделений организации (например, пожарной охраны, медсанчасти, административно-хозяйственных служб и др.). По результатам обследования выделяются наиболее уязвимые участки, где обращается КЗИ, на которых устанавливается более строгий порядок доступа к документам и изделиям, содержащим такие сведения, а также составляется перечень «режимных помещений» с учетом характера проводимых в них работ и степени их конфиденциальности.
Подготовительный этап работы завершается составлением проекта Положения, который обсуждается комиссией и утверждается руководителем организации. В организации может быть установлен и иной порядок принятия Положения, например общим собранием учредителей (акционеров). В примерный вариант Положения о разрешительной системе входят: общие правила о доступе работников к КЗИ; порядок доступа к документам и изделиям, имеющим различную степень (разряд) конфиденциальности, включая стадии их разработки и согласования; порядок доступа к номенклатурным делам, к документам, изделиям и сведениям работников государственных органов и органов местного самоуправления, командированных лиц; порядок копирования и рассылки документов, имеющих гриф «Коммерческая тайна»; порядок доступа к материалам на заседаниях ученых, научно-технических советов и служебных совещаний, где обсуждаются конфиденциальные вопросы.
С Положением о разрешительной системе должны быть ознакомлены работники организации в части их касающейся. Мероприятия по внедрению Положения предусматривают, во-первых, изучение его с руководящим составом и исполнителями, прием зачетов по знанию ими корпоративных требований в сфере обеспечения безопасности. Во-вторых, изучение Положения работниками СБ на предмет знания ими информационных потоков в организации, функций и специфики деятельности производственных подразделений. В-третьих, проведение работы по заполнению разрешительных документов, проставлению классификационных разрядов (категорий) и грифа «Коммерческая тайна» на документах и других материальных носителях. В-четвертых, определяется состав работников, осуществляющих контроль за выполнением требований разрешительной системы.
Управление процессом доступа работников-исполнителей к конфиденциальным документам, изделиям и работам осуществляется с соблюдением следующих принципов. Во-первых, административного делегирования руководителем организации прав на доступ к КЗИ руководящему составу высшего, среднего и низшего звена и распределение между ними полномочий. Во-вторых, дифференцированного подхода к разграничению доступа с учетом степени значимости сведений. В-третьих, документального оформления решений о доступе к КЗИ. В-четвертых, периодического осуществления контроля за соблюдением требований разреитительной системы.
В структуре управления организацией важное место занимает деятельность руководителей среднего звена, которым предоставляются широкие правомочия, связанные с определением доступа работников своего подразделения к КЗИ. К ним предъявляется ряд общих требований по управлению процессом доступа исполнителей к документам, изделиям и сведениям, составляющим коммерческую тайну. К числу основных следует отнести: знание уязвимых участков производства, где сосредоточены коммерческие секреты, степени конфиденциальности проводимых работ, обязанностей подчиненных ему работников, использующих в работе КЗИ; предупреждение неправомерных действии либо бездействия работников, нарушающих требования охраны конфиденциальности КЗИ; сообщение в СБ сведений об изменении характера работ и обязанностей работников, а также об имевших место нарушениях, связанных с установлением режима коммерческой тайны и его обеспечением.
Кроме того, руководители подразделений и работники конфиденциального делопроизводства, которые непосредственно занимаются оформлением разрешений, должны учитывать в своей работе требования, предъявляемые к документальному оформлению права на доступ к КЗИ, к числу которых относятся:
• указание даты выдачи карточки-разрешения и срок ее действия;
• внесение записи в карточку, исключающей возможность раскрытия КЗИ (использование условных обозначений, разрядов степени конфиденциальности), дописывания лишних номеров и наименования документов;
• уничтожение карточки-разрешения по истечении трех лет после увольнения работника либо другого срока, установленного в организации; ознакомление работника с документом, имеющим гриф «Коммерческая тайна», подтверждается его подписью на самом документе;
• проведение систематического контроля за сроком действия оформленных разрешений (документов категории «А» (высший разряд) — ежемесячно; документов других категорий через каждый год).
При разработке Положения следует учитывать сложившуюся во многих организациях практику, когда отдельные категории работников допускаются к определенным документам и сведениям без оформления письменных разрешений. К их числу относятся руководство организации, авторы документов, лица, подписавшие или завизировавшие в установленном порядке документы, работники службы безопасности, осуществляющие контроль за обеспечением безопасности отдельных подразделений.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
